- Home
- Categorie
- Coding e Sistemistica
- PHP
- Prenotazione con carta di credito
-
Prenotazione con carta di credito
Salve a tutti...
Sto realizzando un sito web per una struttura ricettiva, il cliente mi ha chiesto di realizzare un modulo che permette all'utente di effettuare una prenotazione con convalida della carta di credito, mi chiedevo:- conviene memorizzare i dati della carta di credito nel DB? Se si come conviene crittografarli?
- conviene eseguire la procedura di prenotazione in https?
Grazie.
-
@felino said:
- conviene memorizzare i dati della carta di credito nel DB? Se si come conviene crittografarli?
Il cliente prevede procedure in abbonamento in cui deve scalare settimanalmente/mensilmente/annualmente una quota? Se no, sconsiglialo. Il sistema deve accedere comunque ai dati in chiaro della carta di credito, quindi ammesso che li cripti, il sistema deve comunque avere la chiave di decrypt memorizzata da qualche parte. Se ti bucano il server, non ci vorrà l'arco della scienza a trovare la chiave di decrypt (ed eventualmente il vettore di inizializzazione ammesso che tu voglia usare AES-256/Rijndael).
Se il cliente insiste, fagli la seguente domanda: "se la sentirebbe di risarcire le banche e/o le assicurazioni delle carte per centinaia di migliaia di euro in caso di sfondamento del server?".@felino said:
- conviene eseguire la procedura di prenotazione in https?
Conviene!? E' d'obbligo. Prendi uno di quei certificati SSL con copertura assicurativa.
-
Capito, quindi meglio evitare la memorizzazione di carte di credito nel DB.
Se volessi invece effettuare l'invio dei DATI della carta di credito via MAIL, quale procedura mi consiglieresti?
Grazie.
-
@felino said:
Se volessi invece effettuare l'invio dei DATI della carta di credito via MAIL, quale procedura mi consiglieresti?
Non ho capito che cosa vuoi dire... inviare i dati di credito di chi, e a chi? Ma soprattutto quando?
-
Cioè utilizzare un classico modulo mail, ove l'utente può inserire i propri dati della carta di credito e far recapitare all'eventuale gestore tali dati.
